Vanaf 18 oktober 2024 gelden voor heel wat bedrijven en instellingen die ‘essentiële diensten’ verlenen strengere normen voor cyberveiligheid. Die dag treedt immers de zogenaamde NIS2-wet in werking. Dat is de wet waarmee België de Europese vereisten uit de Cybersecurityrichtlijn NIS2 (Richtlijn 2022/2555) implementeert. Een aantal elementen moest nog verder worden uitgewerkt in een KB, zoals de regels m.b.t. het toezicht op de betrokken bedrijven en instellingen. Dat ‘KB Cyberbeveiliging’ is op 24 juni in het Belgisch Staatsblad verschenen.
Aanwijzing bevoegde autoriteiten
Het KB Cyberbeveiliging van 9 juni 2024 wijst het Centrum voor Cybersecurity België (CCB) aan als nationale cyberbeveiligingsautoriteit. De inspectiedienst van het centrum is onder meer bevoegd om controles uit te voeren om na te gaan of essentiële en belangrijke entiteiten de gepaste maatregelen voor het beheer van cyberbeveiligingsrisico’s en de regels voor het melden van incidenten naleven. De leden van de inspectiedienst krijgen een legitimatiekaart (model opgenomen in bijlage bij het KB Cyberbeveiliging) en een retributie voor inspectieprestaties.
Daarnaast zijn er tal van bevoegde sectorale overheden. Voor de sector energie is bijvoorbeeld de federale minister bevoegd voor Energie aan zet (of bij delegatie een leidend personeelslid van zijn of haar administratie) De minister kan per deelsector ook nog een andere gemachtigde aanwijzen. Voor de sector vervoer over water gaat het om de federale minister bevoegd voor Maritieme Mobiliteit en voor de sector digitale aanbieders om de federale minister bevoegd voor Economie.
Toezicht
Essentiële entiteiten moeten, als onderdeel van hun toezicht, zich regelmatig onderwerpen aan een conformiteitsbeoordeling. Belangrijke entiteiten kunnen zich ook onderwerpen aan een regelmatige conformiteitsbeoordeling, maar dit is voor hen niet verplicht. Belangrijke entiteiten zijn enkel onderworpen aan controle achteraf.
Het CCB zorgt voor de uitwerking, actualisering en openbaarmaking voor een referentiekader om die beoordelingen uit te voeren. Het gaat vooral om praktische modaliteiten voor de beoordeling van de minimale maatregelen voor het beheer van cyberbeveiligingsrisico's.
Het besluit diept de procedure ook verder uit. Zo krijgen essentiële diensten, in het kader van de conformiteitsbeoordeling op basis van het referentiekader, een certificering via een procedure van regelmatige audits uitgevoerd door een conformiteitsbeoordelingsinstantie die erkend is door de CCB. De erkenningsprocedure is ook voorwerp van het KB Cyberbeveiliging.
Wanneer belangrijke entiteiten kiezen voor een regelmatige conformiteitsbeoordeling op basis van het referentiekader, verkrijgen zij een verificatieverklaring van minstens het niveau belangrijk. Ieder jaar voeren ze een zelfbeoordeling uit die wordt geverifieerd door een erkende conformiteitsbeoordelingsinstantie. Indien gewenst kunnen ze ook een certificering verkrijgen via een procedure van regelmatige audits
In werking: 5 juli 2024. Het
KB van 12 juli 2019 tot uitvoering van de NIS1-wet wordt opgeheven.